DE102017202176B4 - Method for detecting manipulation of a respective data network of at least one motor vehicle and server device - Google Patents

Method for detecting manipulation of a respective data network of at least one motor vehicle and server device Download PDF

Info

Publication number
DE102017202176B4
DE102017202176B4 DE102017202176.4A DE102017202176A DE102017202176B4 DE 102017202176 B4 DE102017202176 B4 DE 102017202176B4 DE 102017202176 A DE102017202176 A DE 102017202176A DE 102017202176 B4 DE102017202176 B4 DE 102017202176B4
Authority
DE
Germany
Prior art keywords
data
motor vehicles
attack
several
predetermined
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102017202176.4A
Other languages
German (de)
Other versions
DE102017202176A1 (en
Inventor
Elmar Schoch
Christopher Corbett
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Original Assignee
Audi AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG filed Critical Audi AG
Priority to DE102017202176.4A priority Critical patent/DE102017202176B4/en
Priority to PCT/EP2018/052727 priority patent/WO2018146028A1/en
Publication of DE102017202176A1 publication Critical patent/DE102017202176A1/en
Application granted granted Critical
Publication of DE102017202176B4 publication Critical patent/DE102017202176B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Traffic Control Systems (AREA)

Abstract

Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk (31) in zumindest einem von mehreren Kraftfahrzeugen (12), wobei über das jeweilige Datennetzwerk (31) jedes Kraftfahrzeugs (12) jeweils Steuergeräte (32, 34) des Kraftfahrzeugs (12) Nachrichtendaten (33, 35) austauschen und bei dem Verfahren in einer zentralen, stationären Servervorrichtung (10):- eine Kommunikationseinrichtung (13) aus den mehreren Kraftfahrzeugen (12) jeweils Meldedaten (17) empfängt, wobei die Meldedaten (17) eine vorbestimmte Mindestabweichung der Nachrichtendaten (33, 35) des jeweiligen Datennetzwerks (31) von einem vorgegebenen Normalverhalten (37) und/oder eine vorbestimmte Mindestübereinstimmung der Nachrichtendaten (33, 35) mit einem vorbestimmten Prüfmuster signalisieren;- eine Erkennungseinrichtung (15) in den Meldedaten (17) mehrerer der Kraftfahrzeuge (12) einen übereinstimmenden Anteil (18) als Angriffsdaten (20) erkennt, sodass die Erkennungseinrichtung (15) erkennt, dass mehrere der Kraftfahrzeuge (12) gleiche Meldedaten (17) gesendet haben; und- eine Abwehreinrichtung (16) überprüft, ob die Angriffsdaten (20) ein vorbestimmtes Kritikalitätskriterium (21) erfüllen, und bei erfülltem Kritikalitätskriterium (21) zumindest eine vorbestimmte Abwehrmaßnahme (24) auslöst, durch welche in den Kraftfahrzeugen (12) das Erzeugen weiterer Angriffsdaten (20) blockiert wird, dadurch gekennzeichnet, dassdie Meldedaten (17) zusätzlich die zugehörigen Nachrichtendaten (35), welche vom Normalverhalten (37) abweichen und/oder welche mit dem Prüfmuster übereinstimmen, enthalten und zum Erkennen des in mehreren Kraftfahrzeugen (12) übereinstimmenden Anteils (18) auch die zugehörigen Nachrichtendaten (35) verglichen werden, und/oderdie Meldedaten (17) zusätzlich auch Steuergerätedaten der Steuergeräte (32, 34) enthalten und zum Ermitteln des in mehreren Kraftfahrzeugen (12) übereinstimmenden Anteils (18) und/oder zum Auswählen der zumindest einen Abwehrmaßnahme (24) auch die Steuergerätedaten zugrunde gelegt werden.Method for detecting manipulation of a respective data network (31) in at least one of several motor vehicles (12), wherein control devices (32, 34) of the motor vehicle (12) transmit message data (33) via the respective data network (31) of each motor vehicle (12). , 35) and in the method in a central, stationary server device (10): - a communication device (13) receives message data (17) from the several motor vehicles (12), the message data (17) having a predetermined minimum deviation of the message data ( 33, 35) of the respective data network (31) signal a predetermined normal behavior (37) and / or a predetermined minimum match of the message data (33, 35) with a predetermined test pattern; - a recognition device (15) in the reporting data (17) of several of the Motor vehicles (12) recognize a matching portion (18) as attack data (20), so that the detection device (15) recognizes that several of the motor vehicles (12) have sent the same reporting data (17); and - a defense device (16) checks whether the attack data (20) meet a predetermined criticality criterion (21), and if the criticality criterion (21) is met, triggers at least one predetermined defensive measure (24), through which further ones are generated in the motor vehicles (12). Attack data (20) is blocked, characterized in that the reporting data (17) additionally contains the associated message data (35), which deviate from the normal behavior (37) and / or which match the test pattern, and for detecting the in several motor vehicles (12) matching share (18), the associated message data (35) are also compared, and / or the reporting data (17) also contain control device data of the control devices (32, 34) and to determine the matching share (18) in several motor vehicles (12) and / or the control device data can also be used as a basis for selecting the at least one defensive measure (24).

Description

Die Erfindung betrifft ein Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk in zumindest einem Kraftfahrzeug. Zu der Erfindung gehört auch eine zentrale, stationäre Servervorrichtung, die mit mehreren Kraftfahrzeugen kommuniziert, um die Manipulation zu erkennen.The invention relates to a method for detecting manipulation of a respective data network in at least one motor vehicle. The invention also includes a central, stationary server device that communicates with several motor vehicles in order to detect manipulation.

Kraftfahrzeuge können heute durch präventive Sicherheitsmaßnahmen gegen potentielle Hackerangriffe abgesichert werden. Trotz solcher Sicherheitsmaßnahmen bleiben Restrisiken und insbesondere durch eine Weiterentwicklung von Hackerangriffen altern die Sicherheitsmaßnahmen, was bedeutet, dass Sicherheitsmaßnahmen nach mehreren Jahren Schwachstellen bezüglich neu entwickelter Hackerangriffe aufweisen können. Hierdurch können dann Hackerangriffe in einzelnen Kraftfahrzeugen gelingen oder erfolgreich sein, was aber erst beispielsweise bei Werkstattaufenthalten als systematische Hackerangriffe erkannt wird, wenn eine auffallend große Anzahl von Kraftfahrzeugen dieselben Spuren von Hackerangriffen aufweist.Today, motor vehicles can be protected against potential hacker attacks through preventive security measures. Despite such security measures, residual risks remain and, particularly as hacker attacks continue to develop, security measures age, which means that after several years security measures may have vulnerabilities in relation to newly developed hacker attacks. As a result, hacker attacks in individual motor vehicles can succeed or be successful, but this is only recognized as systematic hacker attacks during workshop visits, for example, when a noticeably large number of motor vehicles show the same traces of hacker attacks.

Bis dahin können Schwachstellen in größerem Umfang von Hackern ausgenutzt werden, wodurch möglicherweise erheblicher Schaden entstehen kann.Until then, vulnerabilities can be exploited on a larger scale by hackers, potentially causing significant damage.

Aus der DE 10 2004 063 319 A1 ist ein Verfahren bekannt, mittels welchem in einem Kraftfahrzeug eine Softwarekomponente auf ihre Authentizität überprüft werden kann. Damit kann festgestellt werden, ob eine Softwarekomponente im Kraftfahrzeug unbefugt geändert oder gelöscht wurde. Gelingt es bei einem Hackerangriff, eine Softwarekomponente derart auszugestalten, dass der zur Überprüfung erzeugte Kontrollwert korrekt ist, so ist anschließend mittels dieser Softwarekomponente das Versenden manipulierter Nachrichtendaten möglich.From the DE 10 2004 063 319 A1 a method is known by which a software component in a motor vehicle can be checked for authenticity. This makes it possible to determine whether a software component in the motor vehicle has been changed or deleted without authorization. If, in the event of a hacker attack, it is possible to design a software component in such a way that the control value generated for checking is correct, it is then possible to send manipulated message data using this software component.

Aus der DE 10 2013 200 525 A1 ist dagegen bekannt, in einem Kraftfahrzeug den Datenverkehr zu erfassen und mit vorher erfassten Daten des Datenverkehrs zu vergleichen, um hieran durchgehend eine Datenmanipulation zu erkennen. Hierdurch kann zwar eine zeitliche Veränderung des Datenverkehrs erkannt werden. Um aber einen zulässigen Datenverkehr, wie er bei seltenen Fahrsituationen vorkommen kann (wie beispielsweise einer Fahrt mit vielen Eingriffen in die Fahrdynamik durch ein Fahrerassistenzsystem), nicht als Hackerangriff falsch zu interpretieren, sind entsprechende Toleranzschwellen beim Überprüfen der Daten nötig. Ansonsten käme es zu einem Fehlalarm, der auf einen Hackerangriff hinweist, obwohl lediglich eine seltene oder besondere Fahrsituation vorliegt.From the DE 10 2013 200 525 A1 On the other hand, it is known to record data traffic in a motor vehicle and compare it with previously recorded data traffic data in order to consistently detect data manipulation. This makes it possible to detect changes in data traffic over time. However, in order not to misinterpret permissible data traffic, which can occur in rare driving situations (such as a trip with a lot of intervention in the driving dynamics by a driver assistance system), as a hacker attack, appropriate tolerance thresholds are necessary when checking the data. Otherwise there would be a false alarm that indicates a hacker attack, even though it is only a rare or special driving situation.

Aus der DE 10 2013 200 528 A1 ist zum Überwachen des Datenverkehrs in einem Kraftfahrzeug bekannt, eine Häufigkeit bestimmter Nachrichten zu ermitteln und mit einem Normalverhalten des Datennetzwerks zu vergleichen. Auch hier besteht wieder das Problem, dass auch in besonderen Fahrsituationen, die nicht mit einem Hackerangriff in Verbindung stehen, eine Häufigkeit von Nachrichten von einem Normalverhalten abweichen kann. Auch hier kann es deshalb zu einem Fehlalarm in Bezug auf einen Hackerangriff kommen, falls die Toleranzschwelle zu niedrig angesetzt ist.From the DE 10 2013 200 528 A1 is known for monitoring data traffic in a motor vehicle, determining a frequency of certain messages and comparing them with normal behavior of the data network. Here again there is the problem that even in special driving situations that are not related to a hacker attack, the frequency of messages can deviate from normal behavior. Here too, a false alarm regarding a hacker attack can occur if the tolerance threshold is set too low.

Aus der US 2015 / 0195297 A1 ist ein System zum Bereitstellen von Sicherheit für ein fahrzeuginternes Kommunikationsnetzwerk bekannt, wobei das System umfasst: einen Datenüberwachungs- und -verarbeitungs-Hub; und mindestens ein Modul, das so konfiguriert ist, dass es Nachrichten im Kommunikationsverkehr überwacht, die sich in einem fahrzeuginternen Netzwerk ausbreiten, wobei das Netzwerk einen Bus und mindestens einen mit dem Bus verbundenen Knoten aufweist, wobei das Modul umfasst: eine Kommunikationsschnittstelle, die so konfiguriert ist, dass sie die Kommunikation mit dem Hub unterstützt; einen Speicher mit einer Software, die Daten umfasst, die Nachrichten charakterisieren, die der mindestens eine Knoten während des normalen Betriebs des Knotens sendet und empfängt; mindestens einen Kommunikationsanschluss, über den das Modul Nachrichten empfängt und sendet, die so konfiguriert sind, dass sie mit einem Teil des fahrzeuginternen Netzwerks verbunden sind; einen Prozessor, der über den Anschluss von dem Teil des fahrzeuginternen Netzwerks empfangene Nachrichten in Reaktion auf die Software in dem Speicher verarbeitet, um: eine anomale Nachricht in den empfangenen Nachrichten zu identifizieren, die darauf hinweist, dass das bordeigene Netzwerk einer Gefahr durch einen Cyberangriff ausgesetzt ist; eine von dem Modul zu ergreifende Aktion zu bestimmen, die die anomale Nachricht beeinflusst; und Daten in Reaktion auf die anomale Nachricht an den Hub zur Verarbeitung durch den Hub über die Kommunikationsschnittstelle zu übertragen.From the US 2015 / 0195297 A1 is known a system for providing security for an in-vehicle communications network, the system comprising: a data monitoring and processing hub; and at least one module configured to monitor messages in communication traffic propagating in an in-vehicle network, the network comprising a bus and at least one node connected to the bus, the module comprising: a communication interface, the so is configured to support communication with the hub; a memory having software that includes data characterizing messages that the at least one node sends and receives during normal operation of the node; at least one communication port through which the module receives and sends messages configured to connect to a portion of the in-vehicle network; a processor that processes messages received via the port from the portion of the in-vehicle network in response to the software in memory to: identify an anomalous message in the received messages that indicates that the in-vehicle network is at risk from a cyber attack is exposed; determine an action to be taken by the module that affects the anomalous message; and transmit data in response to the anomalous message to the hub for processing by the hub via the communication interface.

Der Erfindung liegt die Aufgabe zugrunde, bei Kraftfahrzeugen einen Hackerangriff auf das jeweilige Datennetzwerk der Kraftfahrzeuge zu erkennen.The invention is based on the object of detecting a hacker attack on the respective data network of motor vehicles.

Die Aufgabe wird durch die Gegenstände der unabhängigen Patentansprüche gelöst. Vorteilhafte Weiterbildungen der Erfindung sind durch die abhängigen Patentansprüche, die folgende Beschreibung sowie die Figur beschrieben.The task is solved by the subject matter of the independent patent claims. Advantageous developments of the invention are described by the dependent claims, the following description and the figure.

Durch die Erfindung ist ein Verfahren bereitgestellt, mittels welchem eine Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs oder zumindest einiger aus mehreren Kraftfahrzeugen erkannt werden kann. Es wird hier davon ausgegangen, dass mehrere Kraftfahrzeuge zu untersuchen sind. Über das jeweilige Datennetzwerk jedes Kraftfahrzeugs tauschen jeweils Steuergeräte des Kraftfahrzeugs Nachrichtendaten untereinander aus. Ein solches Datennetzwerk kann beispielsweise ein Ethernet und/oder einen CAN-Bus (CAN - Controller Area Network) und/oder einen LIN-Bus (LIN - Local Interconnect Network) und/oder einen FlexRay-Bus und/oder einen MOST-Bus (MOST - Media Oriented Systems Transport) umfassen. Das Verfahren wird durch eine zentrale, stationäre Servervorrichtung durchgeführt, also eine Servervorrichtung, die zum Beispiel am Internet betrieben oder angeschlossen werden kann. Eine Kommunikationseinrichtung der Servervorrichtung empfängt aus den Kraftfahrzeugen jeweils Meldedaten. Diese Meldedaten signalisieren aus dem jeweiligen Kraftfahrzeug eine vorbestimmte Mindestabweichung der Nachrichtendaten des jeweiligen Netzwerks des Kraftfahrzeugs von einem vorgegebenen Normalverhalten. Zusätzlich oder alternativ dazu signalisieren die Meldedaten eine vorbestimmte Mindestübereinstimmung der Nachrichtendaten des Datennetzwerks mit einem vorbestimmten Prüfmuster. Mit anderen Worten wird durch die Meldedaten signalisiert, dass in dem jeweiligen Kraftfahrzeug die Nachrichtendaten zum Beispiel in Bezug auf ihre Häufigkeit und/oder Senderate und/oder ihren Inhalt und/oder den Sender und/oder Empfänger außerhalb eines jeweiligen vorgegebenen Wertebereichs und/oder außerhalb einer statistischen Verteilung liegen, die das Normalverhalten definieren. Die Mindestabweichung bedeutet, dass der Unterschied zum Normalverhalten größer als ein vorbestimmter Mindestwert oder ein vorbestimmtes Mindestmaß ist. Zusätzlich oder alternativ dazu kann ein vorbestimmtes Prüfmuster in den Kraftfahrzeugen gesucht werden, und bei einer Übereinstimmung der Nachrichtendaten mit dem Prüfmuster um mehr als einen vorbestimmten Mindestwert werden korrespondierende Meldedaten an die Kommunikationseinrichtung ausgesendet. Eine Erkennungseinrichtung der Servervorrichtung erkennt dann in den Meldedaten mehrerer der Kraftfahrzeuge einen übereinstimmenden Anteil. Mit anderen Worten wird erkannt, dass nicht nur ein einzelnes Kraftfahrzeug bestimmte Meldedaten sendet, sondern mehrere Kraftfahrzeuge gleiche oder ähnliche Meldedaten gesendet haben. Der übereinstimmende Anteil kann also durch ein Abstandsmaß zum Vergleichen der Meldedaten bestimmt sein und hierbei ein Abstandswert kleiner als ein vorbestimmter Höchstwert eine Übereinstimmung definieren. Dieser übereinstimmende Anteil wird im Folgenden als Angriffsdaten bezeichnet. Melden also mehrere Kraftfahrzeuge gleiche oder im Sinne des Abstandsmaßes ähnliche Meldedaten, so ergibt sich also bei mehreren Kraftfahrzeugen ein übereinstimmendes Fehlerbild, weil ja die Meldedaten auf eine Abweichung vom Normalverhalten und/oder eine Übereinstimmung mit einem Prüfmuster hinweisen. Es kann sich also bei den Meldedaten nicht um einen Fehlalarm in einem einzelnen Kraftfahrzeug handeln, wie er sich durch eine spezifische, extreme Fahrsituation ergeben könnte. Eine Abwehreinrichtung der Servervorrichtung überprüft dann, ob die Angriffsdaten ein vorbestimmtes Kritikalitätskriterium erfüllen. Das Kritikalitätskriterium kann definieren, ob die Angriffsdaten relevant sind. Bei erfülltem Kritikalitätskriterium löst die Abwehreinrichtung zumindest eine vorbestimmte Abwehrmaßnahme aus, durch welche in den Kraftfahrzeugen das Erzeugen weiterer Angriffsdaten blockiert wird. Mittels der zumindest einen vorbestimmten Abwehrmaßnahme kann also der Ursache der Angriffsdaten, die zu den Merkmalsdaten geführt haben, entgegengewirkt werden. Die Abwehreinrichtung kann als Abwehrmaßnahme z.B. ein Update einer Betriebssoftware zumindest eines Steuergeräts auslösen. Die Abwehreinrichtung kann als ein Programmcode der Steuervorrichtung ausgestaltet sein.The invention provides a method by means of which manipulation of a respective data network of at least one motor vehicle equipment or at least some of several motor vehicles can be recognized. It is assumed here that several motor vehicles need to be examined. Control devices of the motor vehicle exchange message data with each other via the respective data network of each motor vehicle. Such a data network can, for example, be an Ethernet and/or a CAN bus (CAN - Controller Area Network) and/or a LIN bus (LIN - Local Interconnect Network) and/or a FlexRay bus and/or a MOST bus ( MOST - Media Oriented Systems Transport). The method is carried out by a central, stationary server device, i.e. a server device that can be operated or connected to the Internet, for example. A communication device of the server device receives reporting data from the motor vehicles. These reporting data signal from the respective motor vehicle a predetermined minimum deviation of the message data of the respective network of the motor vehicle from a predetermined normal behavior. Additionally or alternatively, the message data signals a predetermined minimum match of the message data of the data network with a predetermined test pattern. In other words, the message data signals that in the respective motor vehicle the message data, for example in terms of its frequency and/or transmission rate and/or its content and/or the sender and/or receiver, is outside a respective predetermined value range and/or outside a statistical distribution that defines normal behavior. The minimum deviation means that the difference from normal behavior is greater than a predetermined minimum value or a predetermined minimum dimension. Additionally or alternatively, a predetermined test pattern can be searched for in the motor vehicles, and if the message data matches the test pattern by more than a predetermined minimum value, corresponding reporting data is sent to the communication device. A recognition device of the server device then recognizes a matching portion in the reporting data of several of the motor vehicles. In other words, it is recognized that not only a single motor vehicle sends certain reporting data, but rather several motor vehicles have sent the same or similar reporting data. The matching proportion can therefore be determined by a distance measure for comparing the reporting data and a distance value smaller than a predetermined maximum value can define a match. This matching portion is referred to below as attack data. If several motor vehicles report the same or similar reporting data in terms of the distance measure, this results in a consistent error pattern for several motor vehicles because the reporting data indicates a deviation from normal behavior and/or a match with a test sample. The reporting data cannot therefore be a false alarm in an individual motor vehicle, as could result from a specific, extreme driving situation. A defense device of the server device then checks whether the attack data meets a predetermined criticality criterion. The criticality criterion can define whether the attack data is relevant. If the criticality criterion is met, the defense device triggers at least one predetermined defensive measure, which blocks the generation of further attack data in the motor vehicles. By means of the at least one predetermined defensive measure, the cause of the attack data that led to the feature data can be counteracted. As a defensive measure, the defense device can, for example, trigger an update of the operating software of at least one control device. The defense device can be designed as a program code of the control device.

Durch das erfindungsgemäße Verfahren ergibt sich also eine großflächige Überwachung mehrerer Kraftfahrzeuge, sodass das Entstehen von Angriffsdaten in mehreren Kraftfahrzeugen erkannt wird und daraufhin zumindest eine vorbestimmte Abwehrmaßnahme oder Reaktion auf die Angriffsdaten ausgelöst werden kann. Die Servervorrichtung ermittelt hierzu Indizien betreffend die Übereinstimmung von Meldedaten in mehreren Kraftfahrzeugen.The method according to the invention therefore results in large-scale monitoring of several motor vehicles, so that the emergence of attack data in several motor vehicles is detected and at least one predetermined defensive measure or reaction to the attack data can then be triggered. For this purpose, the server device determines evidence regarding the correspondence of reporting data in several motor vehicles.

Erfindungsgemäß enthalten die Mediendaten die zugehörigen Nachrichtendaten, welche vom Normalverhalten abweichen und/oder welche mit dem Prüfmuster übereinstimmen. Zum Erkennen des in mehreren Kraftfahrzeugen übereinstimmenden Anteils, also zum Erkennen der Angriffsdaten, werden auch die zugehörigen Nachrichtendaten verglichen. Hieran kann erkannt werden, ob ein Hackerangriff mittels gleicher Nachrichtendaten in den Datennetzwerken der Kraftfahrzeuge durchgeführt wird, also z.B. mittels eines bestimmten Bitmusters, mit dem auf eine Schwachstelle in einem Steuergerät abgezielt wird.According to the invention, the media data contains the associated message data which deviates from normal behavior and/or which corresponds to the test pattern. In order to recognize the proportion that matches in several motor vehicles, i.e. to recognize the attack data, the associated message data is also compared. This can be used to identify whether a hacker attack is being carried out using the same message data in the data networks of the motor vehicles, for example using a specific bit pattern that targets a weak point in a control unit.

Die Meldedaten enthalten erfindungsgemäß zusätzlich oder alternativ auch Steuergerätedaten der Steuergeräte. Zum Ermitteln des in mehreren Kraftfahrzeugen übereinstimmenden Anteils und/oder zum Auswählen der zumindest einen Abwehrmaßnahme werden entsprechend auch bevorzugt die Steuergerätedaten zu Grunde gelegt. Auf Grundlage der Steuergerätedaten kann auch die jeweilige Ausstattung oder Konfiguration der Kraftfahrzeuge verglichen werden. Enthält ein Kraftfahrzeug beispielsweise ein Steuergerät, das Nachrichtendaten für einen bestimmten Nachrichtentyp mit einer ersten Nachrichtenrate (Nachrichten pro Zeit) aussendet, und ein anderes Kraftfahrzeug ein Steuergerät eines anderen Gerätetyps, das mit einer größeren Nachrichtenrate versendet, weil es beispielsweise leistungsfähiger ist oder einen Sensor mit einer anderen Datenrate aufweist, so ist anhand der Steuergerätedaten erkennbar, dass die Nachrichtenraten dieser beiden Kraftfahrzeuge nicht verglichen werden sollten oder ein Korrekturfaktor angewendet werden muss.According to the invention, the reporting data additionally or alternatively also contains control device data of the control devices. To determine the proportion that matches in several motor vehicles and/or to select the at least one defensive measure, the control device data is preferably used as a basis. Based on the control unit data, the respective equipment or configuration of the motor vehicles can also be compared. For example, a motor vehicle contains a control unit that contains message data for a specific message type with a first message rate (messages per time), and another motor vehicle sends a control device of a different device type that sends with a larger message rate because, for example, it is more powerful or has a sensor with a different data rate, this is based on the ECU data shows that the message rates of these two vehicles should not be compared or a correction factor must be applied.

Zu der Erfindung gehören auch Weiterbildungen, durch deren Merkmale sich zusätzliche Vorteile ergeben.The invention also includes further developments whose features result in additional advantages.

Um den übereinstimmenden Anteil in den Meldedaten zu erkennen, wird dieser bevorzugt auf der Grundlage einer Mustererkennung und/oder einer Methode des maschinellen Lernens erkannt. Eine Mustererkennung kann beispielsweise auf der Grundlage eines Hidden-Markov-Modells (HMM) oder eines künstlichen neuronalen Netzwerks (ANN - Artificial Neural Network) durchgeführt werden. Hierdurch ergibt sich der Vorteil, dass auch statistische Abweichungen in den Angriffsdaten, wie sie beispielsweise durch eine jeweilige in einem angegriffenen Fahrzeug vorliegende Fahrsituation verursacht werden kann, bei der Erkennung der Angriffsdaten berücksichtigt oder kompensiert werden kann. Mit einer Methode des maschinellen Lernens ist hier gemeint, dass durch die Erkennungseinrichtung selbst die Kriterien ermittelt werden, anhand welcher eine Übereinstimmung erkannt wird. Dies wird als sogenanntes „Unüberwachtes Lernen“ bezeichnet und kann beispielsweise mittels eines sogenannten Clustering-Verfahrens, zum Beispiel einem Estimation-Maximization-Algorithmus, durchgeführt werden. Hierdurch ergibt sich der Vorteil, dass nicht im Voraus die Kriterien zum Erkennen einer Übereinstimmung oder ein Übereinstimmungsmaß definiert sein muss. Hierdurch kann man auf noch unbekannte Arten von Hackerangriffen reagieren.In order to recognize the matching proportion in the reporting data, this is preferably recognized on the basis of pattern recognition and/or a machine learning method. Pattern recognition can be carried out, for example, on the basis of a Hidden Markov Model (HMM) or an artificial neural network (ANN - Artificial Neural Network). This results in the advantage that statistical deviations in the attack data, such as those that can be caused, for example, by a driving situation present in an attacked vehicle, can also be taken into account or compensated for when detecting the attack data. What is meant here by a machine learning method is that the recognition device itself determines the criteria based on which a match is recognized. This is referred to as so-called “unsupervised learning” and can be carried out, for example, using a so-called clustering method, for example an estimation-maximization algorithm. This has the advantage that the criteria for recognizing a match or a measure of agreement do not have to be defined in advance. This allows you to react to yet unknown types of hacker attacks.

Damit die Kraftfahrzeuge überhaupt Meldedaten aussenden, ist das Normalverhalten zu beschreiben. Das Normalverhalten umfasst insbesondere, dass die Nachrichtendaten über registrierte Kommunikationsverbindungen zwischen den Steuergeräten ausgetauscht werden, also im Voraus bekannte Kommunikationsbeziehungen verwendet werden. Zusätzlich oder alternativ dazu kann das Normalverhalten umfassen, dass die Nachrichtendaten mit einer Nachrichtenrate ausgetauscht werden, deren Wert innerhalb eines registrierten Intervalls und/oder eine registrierte statistische Verteilung aufweist. Zusätzlich oder alternativ dazu kann das Normalverhalten umfassen, dass die Nachrichten ausschließlich registrierte Absenderadressen und/oder Empfängeradressen enthalten. Das Normalverhalten kann in einem Kraftfahrzeug auch erlernt werden, indem in einer Lernphase, während welcher man nicht von einem Hackerangriff ausgehen muss (z.B. bei einer Testfahrt unmittelbar nach der Produktion des Kraftfahrzeugs), Kommunikationsbeziehungen und/oder Intervalle und/oder statistische Verteilungen für Werte und/oder Absenderadressen und/oder Empfängeradressen in dem Datennetzwerk erkannt oder erfasst werden und registriert werden.In order for motor vehicles to send out reporting data at all, normal behavior must be described. The normal behavior includes, in particular, that the message data is exchanged between the control devices via registered communication connections, i.e. communication relationships that are known in advance are used. Additionally or alternatively, the normal behavior may include exchanging the message data at a message rate whose value is within a registered interval and/or has a registered statistical distribution. Additionally or alternatively, normal behavior may include messages containing only registered sender addresses and/or recipient addresses. The normal behavior can also be learned in a motor vehicle by using communication relationships and/or intervals and/or statistical distributions for values and/or in a learning phase during which one does not have to assume a hacker attack (e.g. during a test drive immediately after the production of the motor vehicle). /or sender addresses and/or recipient addresses are recognized or recorded in the data network and registered.

Zum Definieren des Normalverhaltens können auf der Grundlage von Nachrichtendaten des jeweiligen Kraftfahrzeugs mittels einer Methode des maschinellen Lernens das Normalverhalten definierende Parameterwerte erlernt werden. Dies kann beispielsweise mittels eines künstlichen neuronalen Netzwerks und/oder eines HMM und/oder einer Support-Vector-Machine (SVM) oder mittels eines Histogramms zum Ermitteln einer statistischen Verteilung durchgeführt werden. Dies kann auch durch die Servervorrichtung durchgeführt werden.To define the normal behavior, parameter values defining the normal behavior can be learned based on message data from the respective motor vehicle using a machine learning method. This can be carried out, for example, using an artificial neural network and/or an HMM and/or a support vector machine (SVM) or using a histogram to determine a statistical distribution. This can also be done by the server device.

Wenn ein übereinstimmender Anteil an Meldedaten in mehreren Kraftfahrzeugen erkannt wird, führt dies nicht automatisch zu der zumindest einen Abwehrmaßnahme. Vielmehr wird zunächst durch die Abwehreinrichtung das Kritikalitätskriterium überprüft. Dieses umfasst insbesondere, dass die Anzahl der Kraftfahrzeuge, die den übereinstimmenden Anteil der Meldedaten aufweisen, größer als ein vorbestimmter Schwellenwert ist. Zusätzlich oder alternativ dazu kann das Kritikalitätskriterium umfassen, dass die Anzahl einen vorbestimmten zeitlichen Trend aufweist. Steigt die Anzahl also beispielsweise innerhalb eines vorbestimmten Zeitintervalls um mehr als einen vorbestimmten Deltawert an, so kann ein solcher Trend ebenfalls das Kritikalitätskriterium erfüllen.If a matching proportion of reporting data is detected in several motor vehicles, this does not automatically lead to at least one defensive measure. Rather, the criticality criterion is first checked by the defense device. This includes in particular that the number of motor vehicles that have the same proportion of reporting data is greater than a predetermined threshold value. Additionally or alternatively, the criticality criterion may include that the number has a predetermined time trend. For example, if the number increases by more than a predetermined delta value within a predetermined time interval, such a trend can also meet the criticality criterion.

Es kann vorkommen, dass die Meldedaten zwar ein Indiz für einen Hackerangriff ergeben, aber die Meldedaten nicht ausreichen, um die Ausgestaltung oder Beschaffenheit des Hackerangriffs ausreichend für eine Abwehrmaßname zu analysieren. Um eine Analyse der Struktur und/oder Beschaffenheit des Hackerangriffs zu ermöglichen, ist bevorzugt vorgesehen, an diejenigen Kraftfahrzeuge, die den übereinstimmenden Anteil der Meldedaten aufweisen, ein Anforderungssignal mit einem auf der Grundlage der Angriffsdatengebildeten Suchmuster zum Auswählen und bereitstellen zusätzlicher Meldedaten (zum Beispiel zusätzlichen Nachrichtendaten und/oder Steuergerätedaten) ausgesendet wird und aus den Kraftfahrzeugen die angeforderten zusätzlichen Meldedaten empfangen werden. Anhand der zusätzlichen Meldedaten werden dann die Angriffsdaten dahingehend ergänzt, dass eine die Angriffsdaten hervorrufende Ursache beschrieben wird. Beispielsweise wird also das die Angriffsdaten in dem jeweiligen Kraftfahrzeug aussendende Steuergerät identifiziert und/oder ein Datenmuster identifiziert, das in den Angriffsdaten enthalten ist und welches eine Betriebsweise zumindest eines anderen Steuergeräts des Kraftfahrzeugs manipuliert und/oder beeinträchtigt. Hierdurch kann das Fehlerbild konkretisiert werden. Das Suchmuster stellt einen Filter dar, das aus den Nachrichtendaten und/oder Steuergerätedaten die angeforderten Anteile identifiziert oder herausfiltert, um sie an die Servervorrichtung übermitteln zu können. Das Suchmuster ist also ein Detektionsmuster.It may happen that the reporting data provides an indication of a hacker attack, but the reporting data is not sufficient to adequately analyze the design or nature of the hacker attack for a defensive measure. In order to enable an analysis of the structure and/or nature of the hacker attack, it is preferably provided to send a request signal with a search pattern formed on the basis of the attack data to those motor vehicles that have the same proportion of reporting data for selecting and providing additional reporting data (for example additional Message data and/or control device data) is sent out and the requested additional reporting data is received from the motor vehicles. Using the additional reporting data, the attack data is then supplemented to the extent that a cause that caused the attack data is described. For example, the attack data is sent out in the respective motor vehicle Control device identifies and / or identifies a data pattern that is contained in the attack data and which manipulates and / or impairs an operation of at least one other control device of the motor vehicle. This allows the error pattern to be made more concrete. The search pattern represents a filter that identifies or filters out the requested shares from the message data and/or control device data in order to be able to transmit them to the server device. The search pattern is therefore a detection pattern.

Um die Erzeugung oder Entstehung weiterer Angriffsdaten in den Kraftfahrzeugen zu unterdrücken, wird die zumindest eine Abwehrmaßnahme ausgelöst. Diese zumindest eine Abwehrmaßnahme umfasst insbesondere, dass ein Angriffsmuster, das zum Detektieren der Angriffsdaten in jedem Kraftfahrzeug ausgelegt ist, an die Kraftfahrzeuge ausgesendet wird. Hierdurch kann jedes Kraftfahrzeug die in dessen Datennetzwerk erzeugten Angriffsdaten identifizieren und zum Beispiel löschen. Zusätzlich oder alternativ dazu ist vorgesehen, dass die zumindest eine Abwehrmaßnahme umfasst, dass zumindest eine Toleranzschwelle, durch welche das Normalverhalten definiert ist, in den Kraftfahrzeugen gesenkt wird. Dies ermöglicht eine gezielte Suche nach zusätzlichen Nachrichtendaten, die durch einen Hackerangriff verursacht worden sein können. Mit der Toleranzschwelle ist die eingangs beschriebene Toleranzschwelle gemeint, die nötig ist, um in bestimmten Fahrsituationen einen Fehlalarm bei der Detektion von Hackerangriffen zu vermeiden. Ist allerdings anhand der Meldedaten und des übereinstimmenden Anteils in mehreren Kraftfahrzeugen erkannt worden, dass ein Hackerangriff vorliegen könnte, so können durch Senken der Toleranzschwelle mehr Meldedaten erzeugt werden, die nun aber in der Servervorrichtung durch die Erkennungseinrichtung zunächst auf einen übereinstimmenden Anteil überprüft werden und durch die Abwehreinrichtung dann noch auf das Kritikalitätskriterium geprüft werden, bevor es zu einem Fehlalarm kommen kann. Zusätzlich oder alternativ kann die Abwehrmaßnahme umfassen, dass ein Softwareupdate für eine jeweilige Betriebssoftware zumindest eines der Steuergeräte des Kraftfahrzeugs ausgesendet wird.In order to suppress the generation or emergence of further attack data in the motor vehicles, the at least one defensive measure is triggered. This at least one defensive measure includes in particular that an attack pattern, which is designed to detect the attack data in each motor vehicle, is sent to the motor vehicles. This allows each motor vehicle to identify and, for example, delete the attack data generated in its data network. Additionally or alternatively, it is provided that the at least one defensive measure includes lowering at least one tolerance threshold, by which normal behavior is defined, in the motor vehicles. This enables a targeted search for additional message data that may have been caused by a hacker attack. The tolerance threshold means the tolerance threshold described at the beginning, which is necessary to avoid false alarms when detecting hacker attacks in certain driving situations. However, if it has been recognized based on the reporting data and the matching proportion in several motor vehicles that there could be a hacker attack, more reporting data can be generated by lowering the tolerance threshold, which are now first checked in the server device by the recognition device for a matching proportion and by The defense system must then be checked for the criticality criterion before a false alarm can occur. Additionally or alternatively, the defensive measure can include sending out a software update for a respective operating software of at least one of the control devices of the motor vehicle.

Zum Durchführen des Verfahrens ist die beschriebene Servervorrichtung zum Betreiben am Internet bereitgestellt. Die Servervorrichtung kann durch einen Computer oder einen Computerverbund bereitgestellt sein, der an das Internet angeschlossen sein kann. Die Servervorrichtung weist eine Kommunikationseinrichtung zum Empfangen von Meldedaten aus Kraftfahrzeugen auf. Die Servervorrichtung kann beispielsweise durch eine NIC (Network Interface Card) bereitgestellt sein. Die Meldedaten können beispielsweise über ein Ethernet und/oder eine Internetverbindung empfangen werden. Des Weiteren weist die Servervorrichtung die Erkennungseinrichtung zum Erkennen der Angriffsdaten, die den übereinstimmenden Anteil der Meldedaten mehrerer Kraftfahrzeuge darstellen, und die Abwehreinrichtung zum Auslösen zumindest einer vorbestimmten Abwehrmaßnahme gegen die Erzeugung weiterer Angriffsdaten auf. Die Servervorrichtung weist hierzu eine Prozessoreinrichtung auf, die dazu eingerichtet ist, eine Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen. Die Erkennungseinrichtung und die Abwehreinrichtung können hierbei zum Beispiel jeweils ein Programmmodul für die Prozessoreinrichtung sein. Insgesamt kann in der Prozessoreinrichtung ein Programmcode bereitgestellt sein, der dazu eingerichtet ist, bei Ausführen durch die Prozessoreinrichtung eine Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen. Der Programmcode kann in einem Datenspeicher der Prozessoreinrichtung gespeichert sein.To carry out the method, the server device described is provided for operation on the Internet. The server device may be provided by a computer or a network of computers that may be connected to the Internet. The server device has a communication device for receiving reporting data from motor vehicles. The server device can be provided, for example, by a NIC (Network Interface Card). The reporting data can be received, for example, via an Ethernet and/or an Internet connection. Furthermore, the server device has the detection device for detecting the attack data, which represents the corresponding portion of the reporting data from several motor vehicles, and the defense device for triggering at least one predetermined defensive measure against the generation of further attack data. For this purpose, the server device has a processor device which is set up to carry out an embodiment of the method according to the invention. The detection device and the defense device can each be, for example, a program module for the processor device. Overall, a program code can be provided in the processor device, which is designed to carry out an embodiment of the method according to the invention when executed by the processor device. The program code can be stored in a data memory of the processor device.

Im Folgenden sind Ausführungsbeispiele der Erfindung beschrieben. Hierzu zeigt die einzige Figur (Fig.) eine schematische Darstellung einer Ausführungsform der erfindungsgemäßen Servervorrichtung, die mit mehreren Kraftfahrzeugen kommuniziert.Examples of embodiments of the invention are described below. For this purpose, the single figure (Fig.) shows a schematic representation of an embodiment of the server device according to the invention, which communicates with several motor vehicles.

Bei den im Folgenden erläuterten Ausführungsbeispielen handelt es sich um bevorzugte Ausführungsformen der Erfindung. Bei den Ausführungsbeispielen stellen die beschriebenen Komponenten der Ausführungsformen jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden und damit auch einzeln oder in einer anderen als der gezeigten Kombination als Bestandteil der Erfindung anzusehen sind. Des Weiteren sind die beschriebenen Ausführungsformen auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.The exemplary embodiments explained below are preferred embodiments of the invention. In the exemplary embodiments, the described components of the embodiments each represent individual features of the invention that can be viewed independently of one another, which also develop the invention independently of one another and are therefore to be viewed as part of the invention individually or in a combination other than that shown. Furthermore, the described embodiments can also be supplemented by further features of the invention that have already been described.

Die Figur zeigt eine Servervorrichtung 10, das Internet 11 und mehrere Kraftfahrzeuge 12. Die Kraftfahrzeuge 12 können in vergleichbarer Weise ausgestaltet sein, weshalb nur eines der Kraftfahrzeuge 12 in der Figur im Detail dargestellt ist.The figure shows a server device 10, the Internet 11 and several motor vehicles 12. The motor vehicles 12 can be designed in a comparable manner, which is why only one of the motor vehicles 12 is shown in detail in the figure.

Die Servervorrichtung 10 kann ein Computer oder ein Computerverbund sein. In der Servervorrichtung 10 können eine Kommunikationseinrichtung 13 und eine Prozessoreinrichtung 14 bereitgestellt sein. Die Kommunikationseinrichtung 13 kann beispielsweise durch eine Ethernet-Netzwerkkarte oder NIC gebildet sein. Die Prozessoreinrichtung 14 kann beispielsweise eine Erkennungseinrichtung 15 und eine Abwehreinrichtung 16 betreiben. Diese können als Programmcode der Prozessoreinrichtung 14 ausgestaltet sein. Die Servervorrichtung 10 kann mittels ihrer Kommunikationseinrichtung 13 aus den Kraftfahrzeugen 12 Meldedaten 17 empfangen, die auf eine Anomalie in einem jeweiligen internen Netzwerkverkehr der Kraftfahrzeuge 12 hinweisen oder diesen signalisieren. Die Meldedaten 17 der Kraftfahrzeuge 12 können von der Kommunikationseinrichtung 13 an die Erkennungseinrichtung 15 weitergegeben werden. Die Meldedaten 17 aller Kraftfahrzeuge 12 können dann miteinander verglichen werden. In der Figur sind in der Erkennungseinrichtung beispielhaft die Meldedaten 17 der unterschiedlichen Kraftfahrzeuge 12 in einem Diagramm aufgetragen, in welchem die Meldedaten dahingehend unterschieden sind, welchen Wert ein Parameter P1 und ein Parameter T2 in den jeweiligen Meldedaten 17 aufweist. Ein Parameter P1, P2 kann beispielsweise eine Nachrichtenrate und/oder einen Wert, der in einer jeweiligen Nachricht des Netzwerkverkehrs enthalten ist, z.B. einen Lenkwinkel, beschreiben. Durch die Erkennungseinrichtung 15 kann ein übereinstimmender Anteil 18 der Meldedaten 17 erkannt werden, der beispielsweise dadurch definiert sein kann, dass die Meldedaten identisch sind oder nur um einen vorbestimmten Höchstwert 19 voneinander abweichen. Dargestellt ist das Ergebnis einer Clustering-Methode.The server device 10 may be a computer or a computer network. A communication device 13 and a processor device 14 can be provided in the server device 10. The communication device 13 can be formed, for example, by an Ethernet network card or NIC. The processor device 14 can, for example, operate a detection device 15 and a defense device 16. These can be designed as program code of the processor device 14. The server device 10 can by means of their communication device 13, they receive reporting data 17 from the motor vehicles 12, which indicate or signal an anomaly in a respective internal network traffic of the motor vehicles 12. The reporting data 17 of the motor vehicles 12 can be passed on from the communication device 13 to the recognition device 15. The reporting data 17 of all motor vehicles 12 can then be compared with one another. In the figure, for example, the reporting data 17 of the different motor vehicles 12 are plotted in the recognition device in a diagram in which the reporting data is differentiated according to which value a parameter P1 and a parameter T2 have in the respective reporting data 17. A parameter P1, P2 can, for example, describe a message rate and/or a value contained in a respective network traffic message, for example a steering angle. The recognition device 15 can detect a matching portion 18 of the reporting data 17, which can be defined, for example, by the fact that the reporting data is identical or only differs from one another by a predetermined maximum value 19. The result of a clustering method is shown.

Die Meldedaten 17, die den übereinstimmenden Anteil 18 darstellen, können als Angriffsdaten 20 an die Abwehreinrichtung 16 signalisiert werden. Die Abwehreinrichtung 16 kann zu den Angriffsdaten 20 ein Kritikalitätskriterium 21 überprüfen, welches beispielsweise vorgeben kann, dass eine vorbestimmte Mindestanzahl an Kraftfahrzeugen 12 von den Angriffsdaten 20 betroffen sein muss. Mit anderen Worten muss die Anzahl der Kraftfahrzeuge 12, die den übereinstimmenden Anteil 18 der Meldedaten aufweisen, größer als ein vorbestimmter Schwellenwert ist. Ist dies nicht der Fall (in der Figur durch ein „-“ symbolisiert), so können die Angriffsdaten in einem Reaktionsschritt 22 ignoriert werden. Ist das Kritikalitätskriterium dagegen erfüllt (in der Figur durch ein „+“ repräsentiert), so kann in einem Reaktionsschritt 23 durch die Abwehreinrichtung 16 zumindest eine Abwehrmaßnahme 24 ausgelöst werden. Beispielsweise kann auf der Grundlage der Angriffsdaten ein Angriffsmuster 25 erzeugt und dieses durch die Abwehreinrichtung 16 über die Kommunikationseinrichtung 13 an die Kraftfahrzeuge 12 ausgesendet werden. In den Kraftfahrzeugen 12 kann somit anhand des Angriffsmuster 25 die Angriffsdaten in dem jeweiligen Netzwerkverkehr identifiziert oder erkannt werden. Für eine weitergehende Analyse kann auch ein Anforderungssignal 26 an die Kraftfahrzeuge 12 ausgesendet werden. Zusätzlich oder alternativ kann die Abwehreinrichtung 16 als Abwehrmaßnahme 24 vorsehen, dass ein Softwareupdate für eine jeweilige Betriebssoftware zumindest eines der Steuergeräte des Kraftfahrzeugs ausgesendet wird.The reporting data 17, which represents the matching portion 18, can be signaled to the defense device 16 as attack data 20. The defense device 16 can check a criticality criterion 21 for the attack data 20, which can, for example, specify that a predetermined minimum number of motor vehicles 12 must be affected by the attack data 20. In other words, the number of motor vehicles 12 that have the same proportion 18 of the reporting data must be greater than a predetermined threshold value. If this is not the case (symbolized by a “-” in the figure), the attack data can be ignored in a reaction step 22. If, on the other hand, the criticality criterion is met (represented in the figure by a “+”), at least one defensive measure 24 can be triggered by the defense device 16 in a reaction step 23. For example, an attack pattern 25 can be generated based on the attack data and sent to the motor vehicles 12 by the defense device 16 via the communication device 13. In the motor vehicles 12, the attack data in the respective network traffic can thus be identified or recognized based on the attack pattern 25. For further analysis, a request signal 26 can also be sent to the motor vehicles 12. Additionally or alternatively, the defense device 16 can provide as a defensive measure 24 that a software update for a respective operating software of at least one of the control devices of the motor vehicle is sent out.

Für das Übertragen der Meldedaten 17, des Angriffsmusters 25 und/oder des Anforderungssignals 17 kann eine Kommunikationsverbindung 27 zwischen der Servervorrichtung 10 und den Kraftfahrzeugen 12 jeweils beispielsweise über das Internet 11 und eine Funkeinrichtung 28, beispielsweise einen WLAN-Router (WLAN - Wireless Local Area Network) oder ein Mobilfunknetzwerk, aufgebaut werden. Die Funkeinrichtung 28 kann eine jeweilige Funkverbindung 29 zu einer jeweiligen Fahrzeug-Kommunikationseinrichtung 30 betreiben. Innerhalb jedes Kraftfahrzeugs 12 kann der Netzwerkverkehr in einem jeweiligen Datennetzwerk 31 zwischen Steuergeräten 32 des Kraftfahrzeugs 12 ausgetauscht werden, wobei durch den Netzwerkverkehr Nachrichtendaten 33 zwischen den Steuergeräten 32 über das Datennetzwerk 31 übertragen werden.For transmitting the reporting data 17, the attack pattern 25 and/or the request signal 17, a communication connection 27 between the server device 10 and the motor vehicles 12 can be established, for example via the Internet 11 and a radio device 28, for example a WLAN router (WLAN - Wireless Local Area Network) or a mobile network. The radio device 28 can operate a respective radio connection 29 to a respective vehicle communication device 30. Within each motor vehicle 12, the network traffic in a respective data network 31 can be exchanged between control devices 32 of the motor vehicle 12, with message data 33 being transmitted between the control devices 32 via the data network 31 through the network traffic.

In einem Kraftfahrzeug 12 kann ein manipuliertes oder zusätzlich angeschlossenes Steuergerät 34 in dem Datennetzwerk 31 manipulierte Nachrichtendaten 35 erzeugen, um einen Hackerangriff durchzuführen. Unter einem Hackerangriff ist insbesondere eine unautorisierte Manipulation einer Betriebsweise eines Kraftfahrzeugs 12 zu verstehen, wobei die Manipulation durch Verändern einer Betriebssoftware eines Steuergeräts des Kraftfahrzeugs 12 und/oder durch Anschließen eines zusätzlichen, für den Hackerangriff ausgestalteten Steuergeräts an das Datennetzwerk ausgeführt wird. Mittels eines solchen jeweiligen Steuergeräts können die übrigen Steuergeräte des Kraftfahrzeugs 12 beeinflusst werden, insbesondere ihre Betriebsweise beeinträchtigt werden, indem zum Beispiel eine Vielzahl von Nachrichten, die das Verarbeitungsvermögen eines Steuergeräts und/oder eines Netzwerk-Switches und/oder eines Netzwerk-Gateways überschreiten, erzeugt werden. Auch Nachrichten mit einem Nachrichteninhalt, welcher bei einer Verarbeitung durch ein Steuergerät einen Fehler in dem Steuergerät auslöst, kann für einen Hackerangriff genutzt sein. Z.B. kann ein spezielles Bitmuster einen Fehler auslösen, wenn eine entsprechende Schwachstelle vorliegt.In a motor vehicle 12, a manipulated or additionally connected control device 34 can generate manipulated message data 35 in the data network 31 in order to carry out a hacker attack. A hacker attack is to be understood in particular as an unauthorized manipulation of an operating mode of a motor vehicle 12, the manipulation being carried out by changing an operating software of a control device of the motor vehicle 12 and/or by connecting an additional control device designed for the hacker attack to the data network. By means of such a respective control device, the other control devices of the motor vehicle 12 can be influenced, in particular their operation can be impaired, for example by sending a large number of messages that exceed the processing capacity of a control device and/or a network switch and/or a network gateway. be generated. Messages with message content that triggers an error in the control device when processed by a control device can also be used for a hacker attack. For example, a special bit pattern can trigger an error if there is a corresponding vulnerability.

Eine Überwachungseinrichtung 36 kann die Nachrichtendaten 33 und die manipulierte Nachrichtendaten 35 überwachen und beispielsweise eine Abweichung von einem Normalverhalten des Datennetzwerks 31 erkennen, also den Einfluss der manipulierten Nachrichtendaten 35 detektieren. Das Normalverhalten kann beispielsweise ein statistisches Normalverhalten 37 sein, welches eine statistische Verteilung oder Häufigkeit H eines zum Beispiel in den Nachrichtendaten enthaltenen Werts W, beispielsweise eines Sensorwerts oder eines Steuerwerts, oder eine Nachrichtenrate beschreibt. Eine tatsächliche statistische Verteilung 37` kann von dem statistischen Normalverhalten 37 abweichen. Durch einen Vergleich der Verteilungen 37, 37', beispielsweise mittels der Kullback-Leibler-Divergenz, und einem Schwellenwert können dann durch die Überwachungseinrichtung 36 die Meldedaten 17 erzeugt werden, welche die Abweichung vom statistischen Normalverhalten 37 signalisieren und zum Beispiel die zugehörigen manipulierten Nachrichtendaten 35 und/oder Steuergerätedaten des Steuergeräts 34 enthalten können.A monitoring device 36 can monitor the message data 33 and the manipulated message data 35 and, for example, detect a deviation from normal behavior of the data network 31, i.e. detect the influence of the manipulated message data 35. The normal behavior can, for example, be a statistical normal behavior 37, which describes a statistical distribution or frequency H of a value W contained, for example, in the message data, for example a sensor value or a control value, or a message rate. An actual statistical distribution 37' can deviate from the normal statistical behavior 37. By comparing the distributions 37, 37 ', at For example, by means of the Kullback-Leibler divergence and a threshold value, the monitoring device 36 can then generate the reporting data 17, which signals the deviation from the statistical normal behavior 37 and, for example, can contain the associated manipulated message data 35 and / or control device data of the control device 34.

Anhand des Angriffsmuster 25 kann durch die Überwachungseinrichtung 36 dann gezielt die manipulierten Nachrichtendaten 35 herausgefiltert oder detektiert werden, da durch das Kritikalitätskriterium 21 der Servervorrichtung 10 verifiziert wurde, dass die Verteilung 37` nicht auf einen besonderen Fahrzustand des Kraftfahrzeugs 12 selbst zurückzuführen ist, sondern ein Phänomen darstellt, das in mehreren Kraftfahrzeugen 12 erkannt wurde und deshalb auf einen Hackerangriff hindeuten kann.Based on the attack pattern 25, the monitoring device 36 can then specifically filter out or detect the manipulated message data 35, since it was verified by the criticality criterion 21 of the server device 10 that the distribution 37' is not due to a particular driving state of the motor vehicle 12 itself, but rather a Represents a phenomenon that was detected in several motor vehicles 12 and can therefore indicate a hacker attack.

Somit werden Manipulationen und Hackerangriffe in einzelnen Kraftfahrzeugen 12 anhand von Anomalien in deren internen Netzwerkverkehr erkannt, diese Symptome klassifiziert, beispielsweise als statistische Abweichung oder als Schwellenwert-Überschreitung, und dies dann als Meldedaten 17 an die Servervorrichtung 10 versendet. Die Besonderheit besteht darin, dass die Erkennungslogik der Servervorrichtung, also die Erkennungseinrichtung 15, mehrere Informationsquellen nutzt, nämlich die Netzwerkdaten und Steuergerätedaten, die in den Kraftfahrzeugen 12 aggregiert und als Meldedaten 17 an die Servervorrichtung 10 übertragen werden können. Die Erkennungseinrichtung 15 kann beispielsweise auf der Grundlage einer Mustererkennung in den Meldedaten 17 ein Lagebild über die gesamte Fahrzeugflotte, d.h. die Kraftfahrzeuge 12, erstellen. Das Lagebild beschreibt dann einen übereinstimmenden Anteil 18, also übereinstimmende Symptome in mehreren der Kraftfahrzeuge 12. Gegebenenfalls kann dann auf Angriffe mit geeigneten Abwehrmaßnahmen, beispielsweise einem Softwareupdate, reagiert werden.Manipulations and hacker attacks in individual motor vehicles 12 are thus detected based on anomalies in their internal network traffic, these symptoms are classified, for example as a statistical deviation or as a threshold value being exceeded, and this is then sent to the server device 10 as reporting data 17. The special feature is that the detection logic of the server device, i.e. the detection device 15, uses several sources of information, namely the network data and control device data, which can be aggregated in the motor vehicles 12 and transmitted to the server device 10 as reporting data 17. The recognition device 15 can, for example, create a situation picture of the entire vehicle fleet, i.e. the motor vehicles 12, based on pattern recognition in the reporting data 17. The situation picture then describes a consistent proportion 18, i.e. consistent symptoms in several of the motor vehicles 12. If necessary, attacks can then be responded to with suitable defensive measures, for example a software update.

Insgesamt zeigen die Beispiele, wie durch die Erfindung eine zentrale Manipulationserkennung bei vernetzten Kraftfahrzeugen bereitgestellt werden kann.Overall, the examples show how the invention can provide central manipulation detection in networked motor vehicles.

Claims (8)

Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk (31) in zumindest einem von mehreren Kraftfahrzeugen (12), wobei über das jeweilige Datennetzwerk (31) jedes Kraftfahrzeugs (12) jeweils Steuergeräte (32, 34) des Kraftfahrzeugs (12) Nachrichtendaten (33, 35) austauschen und bei dem Verfahren in einer zentralen, stationären Servervorrichtung (10): - eine Kommunikationseinrichtung (13) aus den mehreren Kraftfahrzeugen (12) jeweils Meldedaten (17) empfängt, wobei die Meldedaten (17) eine vorbestimmte Mindestabweichung der Nachrichtendaten (33, 35) des jeweiligen Datennetzwerks (31) von einem vorgegebenen Normalverhalten (37) und/oder eine vorbestimmte Mindestübereinstimmung der Nachrichtendaten (33, 35) mit einem vorbestimmten Prüfmuster signalisieren; - eine Erkennungseinrichtung (15) in den Meldedaten (17) mehrerer der Kraftfahrzeuge (12) einen übereinstimmenden Anteil (18) als Angriffsdaten (20) erkennt, sodass die Erkennungseinrichtung (15) erkennt, dass mehrere der Kraftfahrzeuge (12) gleiche Meldedaten (17) gesendet haben; und - eine Abwehreinrichtung (16) überprüft, ob die Angriffsdaten (20) ein vorbestimmtes Kritikalitätskriterium (21) erfüllen, und bei erfülltem Kritikalitätskriterium (21) zumindest eine vorbestimmte Abwehrmaßnahme (24) auslöst, durch welche in den Kraftfahrzeugen (12) das Erzeugen weiterer Angriffsdaten (20) blockiert wird, dadurch gekennzeichnet, dass die Meldedaten (17) zusätzlich die zugehörigen Nachrichtendaten (35), welche vom Normalverhalten (37) abweichen und/oder welche mit dem Prüfmuster übereinstimmen, enthalten und zum Erkennen des in mehreren Kraftfahrzeugen (12) übereinstimmenden Anteils (18) auch die zugehörigen Nachrichtendaten (35) verglichen werden, und/oder die Meldedaten (17) zusätzlich auch Steuergerätedaten der Steuergeräte (32, 34) enthalten und zum Ermitteln des in mehreren Kraftfahrzeugen (12) übereinstimmenden Anteils (18) und/oder zum Auswählen der zumindest einen Abwehrmaßnahme (24) auch die Steuergerätedaten zugrunde gelegt werden.Method for detecting manipulation of a respective data network (31) in at least one of several motor vehicles (12), wherein control devices (32, 34) of the motor vehicle (12) transmit message data (33) via the respective data network (31) of each motor vehicle (12). , 35) and in the method in a central, stationary server device (10): - a communication device (13) receives message data (17) from the several motor vehicles (12), the message data (17) having a predetermined minimum deviation of the message data ( 33, 35) of the respective data network (31) signal a predetermined normal behavior (37) and/or a predetermined minimum agreement of the message data (33, 35) with a predetermined test pattern; - a recognition device (15) recognizes a matching portion (18) as attack data (20) in the reporting data (17) of several of the motor vehicles (12), so that the recognition device (15) recognizes that several of the motor vehicles (12) have the same reporting data (17 ) have sent; and - a defense device (16) checks whether the attack data (20) meet a predetermined criticality criterion (21), and if the criticality criterion (21) is met, triggers at least one predetermined defensive measure (24), through which further ones are generated in the motor vehicles (12). Attack data (20) is blocked, characterized in that the reporting data (17) additionally contains the associated message data (35), which deviate from the normal behavior (37) and / or which match the test pattern, and are used to recognize the in several motor vehicles (12 ) matching share (18), the associated message data (35) are also compared, and / or the reporting data (17) also contain control device data of the control devices (32, 34) and to determine the matching share (18) in several motor vehicles (12) and/or the control device data is also used as a basis for selecting the at least one defensive measure (24). Verfahren nach einem Anspruch 1, wobei der übereinstimmende Anteil (18) auf der Grundlage einer Mustererkennung und/oder einer Methode des maschinellen Lernens erkannt wird.Procedure according to one Claim 1 , wherein the matching portion (18) is recognized based on pattern recognition and/or a machine learning method. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Normalverhalten (37) umfasst, dass die Nachrichtendaten (33, 35) über registrierte Kommunikationsbeziehungen zwischen den Steuergeräten (32, 34) ausgetauscht werden und/oder dass die Nachrichtendaten (33, 35) mit einer Nachrichtenrate ausgetauscht werden, deren Wert innerhalb eines registrierten Intervalls und/oder eine registrierte statistische Verteilung aufweist, und/oder dass die Nachrichtendaten (33, 35) ausschließlich registrierte Absenderadressen und/oder registrierte Empfängerdressen enthalten.Method according to one of the preceding claims, wherein the normal behavior (37) includes that the message data (33, 35) is exchanged between the control devices (32, 34) via registered communication relationships and/or that the message data (33, 35) is transmitted at a message rate are exchanged, the value of which is within a registered interval and/or has a registered statistical distribution, and/or that the message data (33, 35) only contains registered sender addresses and/or registered recipient addresses. Verfahren nach einem der vorhergehenden Ansprüche, wobei zum Definieren des Normalverhaltens (37) auf der Grundlage von Nachrichtendaten (33) des jeweiligen Kraftfahrzeugs (12) mittels einer Methode des maschinellen Lernens das Normalverhalten (37) definierende Parameterwerte erlernt werden.Method according to one of the preceding claims, wherein for defining the normal behavior (37) on the basis of message data (33) of the respective motor vehicle (12) by means of Parameter values defining the normal behavior (37) are learned using a machine learning method. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Kritikalitätskriterium (21) umfasst, dass die Anzahl der Kraftfahrzeuge (12), die den übereinstimmenden Anteil (18) der Meldedaten (17) aufweisen, größer als ein vorbestimmter Schwellenwert ist und/oder die Anzahl einen vorbestimmten zeitlichen Trend aufweist.Method according to one of the preceding claims, wherein the criticality criterion (21) comprises that the number of motor vehicles (12) which have the matching proportion (18) of the reporting data (17) is greater than a predetermined threshold value and/or the number is one has a predetermined time trend. Verfahren nach einem der vorhergehenden Ansprüche, wobei auf der Grundlage der Angriffsdaten (20) an die Kraftfahrzeuge (12), die den übereinstimmenden Anteil (18) aufweisen, ein Anforderungssignal (26) mit einem Suchmuster zum Auswählen und Bereitstellen zusätzlicher Meldedaten (17) ausgesendet wird und aus den Kraftfahrzeugen (12) die angeforderten zusätzlichen Meldedaten (17) empfangen werden und anhand der zusätzlichen Meldedaten (17) die Angriffsdaten (20) dahingehend ergänzt werden, dass eine die Angriffsdaten (20) hervorrufenden Ursache beschrieben wird.Method according to one of the preceding claims, wherein, based on the attack data (20), a request signal (26) with a search pattern for selecting and providing additional reporting data (17) is sent to the motor vehicles (12) that have the matching share (18). and the requested additional reporting data (17) is received from the motor vehicles (12) and the attack data (20) is supplemented based on the additional reporting data (17) in such a way that a cause causing the attack data (20) is described. Verfahren nach einem der vorhergehenden Ansprüche, wobei die zumindest eine Abwehrmaßnahme (24) umfasst, dass ein Angriffsmuster (25), das zum Detektieren der Angriffsdaten (20) in jedem Kraftfahrzeug (12) ausgelegt ist, an die Kraftfahrzeuge (12) ausgesendet wird und/oder dass eine jeweilige Toleranzschwelle, durch welche das Normalverhalten (37) definiert ist, in den Kraftfahrzeugen (12) gesenkt wird und/oder eine Softwareupdate für eine jeweilige Betriebssoftware zumindest eines der Steuergeräte (32, 34) des jeweiligen Kraftfahrzeugs (12) ausgesendet wird.Method according to one of the preceding claims, wherein the at least one defensive measure (24) comprises that an attack pattern (25), which is designed to detect the attack data (20) in each motor vehicle (12), is sent to the motor vehicles (12) and /or that a respective tolerance threshold, by which the normal behavior (37) is defined, is lowered in the motor vehicles (12) and/or a software update for a respective operating software of at least one of the control devices (32, 34) of the respective motor vehicle (12) is sent out becomes. Servervorrichtung (10) zum Betreiben am Internet, wobei die Servervorrichtung (10) eine Kommunikationseinrichtung (13) zum Empfangen von Meldedaten (17) aus Kraftfahrzeugen (12), eine Erkennungseinrichtung (15) zum Erkennen von Angriffsdaten (20), die einen übereinstimmenden Anteil (18) der Meldedaten (17) mehrerer der Kraftfahrzeuge (12) darstellen, sodass die Erkennungseinrichtung (15) ausgebildet ist, zu erkennen, dass mehrere der Kraftfahrzeuge (12) gleiche Meldedaten (17) gesendet haben, und eine Abwehreinrichtung (16) zum Auslösen zumindest einer vorbestimmten Abwehrmaßnahme (24) gegen die Erzeugung weiterer Angriffsdaten (20) aufweist, dadurch gekennzeichnet, dass die Servervorrichtung (10) eine Prozessoreinrichtung (14) aufweist, die dazu eingerichtet ist, ein Verfahren nach einem der vorhergehenden Ansprüche durchzuführen.Server device (10) for operation on the Internet, wherein the server device (10) has a communication device (13) for receiving reporting data (17) from motor vehicles (12), a detection device (15) for detecting attack data (20) which has a matching share (18) represent the reporting data (17) of several of the motor vehicles (12), so that the detection device (15) is designed to recognize that several of the motor vehicles (12) have sent the same reporting data (17), and a defense device (16) for Triggering at least one predetermined defensive measure (24) against the generation of further attack data (20), characterized in that the server device (10) has a processor device (14) which is set up to carry out a method according to one of the preceding claims.
DE102017202176.4A 2017-02-10 2017-02-10 Method for detecting manipulation of a respective data network of at least one motor vehicle and server device Active DE102017202176B4 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102017202176.4A DE102017202176B4 (en) 2017-02-10 2017-02-10 Method for detecting manipulation of a respective data network of at least one motor vehicle and server device
PCT/EP2018/052727 WO2018146028A1 (en) 2017-02-10 2018-02-05 Method for detecting a manipulation on a respective data network of at least one motor vehicle, and server apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017202176.4A DE102017202176B4 (en) 2017-02-10 2017-02-10 Method for detecting manipulation of a respective data network of at least one motor vehicle and server device

Publications (2)

Publication Number Publication Date
DE102017202176A1 DE102017202176A1 (en) 2018-08-16
DE102017202176B4 true DE102017202176B4 (en) 2023-11-30

Family

ID=61163722

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017202176.4A Active DE102017202176B4 (en) 2017-02-10 2017-02-10 Method for detecting manipulation of a respective data network of at least one motor vehicle and server device

Country Status (2)

Country Link
DE (1) DE102017202176B4 (en)
WO (1) WO2018146028A1 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11354406B2 (en) * 2018-06-28 2022-06-07 Intel Corporation Physics-based approach for attack detection and localization in closed-loop controls for autonomous vehicles
JP7344009B2 (en) * 2018-10-17 2023-09-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Information processing device, information processing method and program
CN109639690B (en) * 2018-12-18 2021-09-24 重庆长安新能源汽车科技有限公司 Vehicle-mounted monitoring terminal and remote monitoring method and system thereof
JP7139257B2 (en) * 2019-01-21 2022-09-20 エヌ・ティ・ティ・コミュニケーションズ株式会社 VEHICLE SECURITY MONITORING DEVICE, METHOD AND PROGRAM
DE102019129628B3 (en) * 2019-11-04 2021-05-06 Audi Ag Method and control device for detecting unauthorized data traffic in a packet-oriented data network of a motor vehicle and a corresponding motor vehicle
CN112968891B (en) * 2021-02-19 2022-07-08 山东英信计算机技术有限公司 Network attack defense method and device and computer readable storage medium

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004063319A1 (en) 2004-12-23 2006-07-13 Volkswagen Ag Software protection system for automobiles allows control words to be transmitted to a manufacturer for checking
DE102013200528A1 (en) 2013-01-16 2014-07-17 Robert Bosch Gmbh Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation
DE102013200525A1 (en) 2013-01-16 2014-07-17 Robert Bosch Gmbh Method for operating communication network, particularly of motor vehicle, involves connecting two control devices with each other in data technical manner by communication network
US20150195297A1 (en) 2014-01-06 2015-07-09 Argus Cyber Security Ltd. Global automotive safety system
US20150271201A1 (en) 2012-10-17 2015-09-24 Tower-Sec Ltd. Device for detection and prevention of an attack on a vehicle
DE102015205670A1 (en) 2015-03-30 2016-06-09 Volkswagen Aktiengesellschaft Attack detection method, attack detection device and bus system for a motor vehicle

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10298612B2 (en) * 2015-06-29 2019-05-21 Argus Cyber Security Ltd. System and method for time based anomaly detection in an in-vehicle communication network

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004063319A1 (en) 2004-12-23 2006-07-13 Volkswagen Ag Software protection system for automobiles allows control words to be transmitted to a manufacturer for checking
US20150271201A1 (en) 2012-10-17 2015-09-24 Tower-Sec Ltd. Device for detection and prevention of an attack on a vehicle
DE102013200528A1 (en) 2013-01-16 2014-07-17 Robert Bosch Gmbh Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation
DE102013200525A1 (en) 2013-01-16 2014-07-17 Robert Bosch Gmbh Method for operating communication network, particularly of motor vehicle, involves connecting two control devices with each other in data technical manner by communication network
US20150195297A1 (en) 2014-01-06 2015-07-09 Argus Cyber Security Ltd. Global automotive safety system
DE102015205670A1 (en) 2015-03-30 2016-06-09 Volkswagen Aktiengesellschaft Attack detection method, attack detection device and bus system for a motor vehicle

Also Published As

Publication number Publication date
WO2018146028A1 (en) 2018-08-16
DE102017202176A1 (en) 2018-08-16

Similar Documents

Publication Publication Date Title
DE102017202176B4 (en) Method for detecting manipulation of a respective data network of at least one motor vehicle and server device
EP3278529B1 (en) Attack detection method, attack detection device and bus system for a motor vehicle
DE112019000485T5 (en) SYSTEM AND PROCEDURE FOR PROVIDING SECURITY FOR IN-VEHICLE NETWORK
WO2016008778A1 (en) Method for detecting an attack in a communication network
WO2018077528A1 (en) Detection of manipulations in a can network by checking can identifiers
EP3523941B1 (en) Communication data authentication device for a vehicle
DE102017209557A1 (en) Method for protecting a vehicle network against manipulated data transmission
WO2019052798A1 (en) Method and device for detecting an attack on a serial communications system
EP3688951B1 (en) Method for detecting an attack on a control device of a vehicle
EP3655909B1 (en) Methods and devices for communication which is interoperable between subscribers
DE112020005622B4 (en) Information processing device, information processing method and computer program
DE102016204999A1 (en) Method for monitoring the security of communication links of a vehicle
DE102017209556A1 (en) Method for protecting a vehicle network against manipulated data transmission
DE102018212657A1 (en) Method and device for detecting irregularities in a computer network
DE102013108006B4 (en) communication system
DE102021208459B4 (en) Method for authentic data transmission between control units in a vehicle, arrangement with control units, computer program and vehicle
DE112018004881T5 (en) Monitoring device, monitoring system and computer program
DE102016221378A1 (en) Method for transmitting data
DE102017209806A1 (en) Method and device for detecting attacks on a fieldbus
DE102021123786A1 (en) Method for detecting an interruption in data transmission from a vehicle to a safety-related function of a vehicle-external server, computer-readable medium, system, and vehicle
DE102018216959A1 (en) Method for securing a data packet by a switching center in a network, switching center and motor vehicle
WO2022238025A1 (en) Method for identifying an inadmissible message of a manipulated control device of a vehicle by means of a second control device of the vehicle, computer-readable medium, system, and vehicle
DE102022201899A1 (en) MITIGATION OF MANIPULATION OF SOFTWARE OF A VEHICLE
DE102018220008A1 (en) Method for operating a control device of a vehicle
DE102021123785A1 (en) Method for detecting a suppression of a safety-relevant data transmission from a vehicle to a vehicle-external server, computer-readable medium, system, and vehicle

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R082 Change of representative

Representative=s name: HOFSTETTER, SCHURACK & PARTNER - PATENT- UND R, DE

R016 Response to examination communication
R018 Grant decision by examination section/examining division